Основными причинами проводить периодическую оценку и анализ рисков являются:
- Снижение факторов неопределенности при управлении и обеспечении ИБ, повышение качества информации, необходимой для принятия управленческих решений.
- Улучшение планирования и повышение эффективности ИБ.
- Экономия ресурсов (деньги, время, трудозатраты, оборудование и пр.).
- Улучшение взаимоотношений с заинтересованными сторонами.
- Соответствие некоторым российским и международным стандартами и "лучшим практикам".
Ну, и пару практических (простых) советов...
name='more'> Даже если вы и не хотите, по тем или иным причинам) строить классический процесс управления рисками, то вы можете сделать следующее:
- Определить критичные системы и сервисы;
- Определить самые уязвимые места в ИБ;
- Определить возможные вектора угроз ИБ;
- Определить основные группы угроз.
Этой информации вам для первоначального планирования построения (совершенствования ИБ) будет достаточно, а потом уже Вы сможете уточнять эту информации, или даже выстроить процесс управления рисками.
Если все же есть желание (и возможности) более детально заняться рисками ИБ, то в общем случае это будет выглядеть следующим образом:
- Определение области управления рисками (scope);
- Инвентаризация и категорирование активов;
- Оценка критичности активов (их ценности);
- Определение перечня возможных угроз ИБ;
- Выбор/разработка методики оценки рисков;
- Проведение оценки рисков;
- Анализ результатов;
- Определение (и, возможно, согласование) допустимого уровня рисков;
- Планирование обработки рисков (совершенствование системы ИБ);
- Анализ и совершенствование процедуры и методологии оценки рисков.
Я бы не рекомендовал в первый раз выбирать большой scope и использовать специальные автоматизированные системы оценки рисков, постарайтесь методику и процедуру не усложнять. Когда у вас получиться, то уже потом Вы сможете усовершенствовать всю систему. Удачи.
